Semgrep Bewertungen & Produktdetails

That the SAST engine returns a very small number of false positives. And the rules are fun to write. I also like the reachability analysis of the supply chain tool so you don't get overwhelmed by false positives Bewertung gesammelt von und auf G2.com gehostet.

There is no export report feature. Moreover it would be useful a toggle to tell the supply chain tool to report all the vulnerable dependencies, regardless of their reachability. Bewertung gesammelt von und auf G2.com gehostet.

The easy customisation, custom rule creation and fast feedback for devs Bewertung gesammelt von und auf G2.com gehostet.

More products like IaC scanning or DAST, I would love to have full capabilities to scan apps Bewertung gesammelt von und auf G2.com gehostet.

Ich mag den SAST-Engine, er ist leistungsstark und fähig mit einem geringeren Prozentsatz an Fehlalarmen. Abgesehen davon machen die Pro- und viele andere integrierte Regeln es einfach, ihn in jeden DevSecOps-Prozess zu integrieren. Bewertung gesammelt von und auf G2.com gehostet.

Derzeit fügen sich die neueren Angebote wie SEMGREP AI und Secrets Manager nicht perfekt zusammen. Bewertung gesammelt von und auf G2.com gehostet.

Der SAST-Engine und das umfassende Dashboard lassen alles großartig und klar aussehen. Bewertung gesammelt von und auf G2.com gehostet.

Ich bin nicht zufrieden mit der Genauigkeit der Integrationstools damit. Bewertung gesammelt von und auf G2.com gehostet.

- Easy to integrate in CICD and custom workflows

- CLI configurations are simple

- Powerful scanning capabilities

- Supports many languages

- Reachability analysis is helpful

- Stable and reliable Bewertung gesammelt von und auf G2.com gehostet.

- Doesn't handle unicode chars properly at many places, if there are unicodes in your code then semgrep can crash

- No GUI for OSS version, they should atleast provide a basic GUI for OSS version Bewertung gesammelt von und auf G2.com gehostet.

Eines der Dinge, die ich an Semgrep am meisten liebe, ist, wie einfach es zu verwenden ist. Als statisches Analysetool hat es den Ruf, einschüchternd oder schwierig in bestehende Arbeitsabläufe zu integrieren zu sein. Aber mit Semgrep müssen sich Entwickler darüber überhaupt keine Sorgen machen. Es integriert sich nahtlos in viele beliebte Code-Editoren, Versionskontrollsysteme und Continuous-Integration-Tools. Das bedeutet, dass es ein Kinderspiel ist, es einzurichten und zu verwenden, um potenzielle Sicherheitslücken, Leistungsprobleme und andere Codequalitätsprobleme zu erkennen.

Aber was wirklich cool an Semgrep ist, ist, dass es sich wie ein Tool anfühlt, das mit Blick auf Entwickler entworfen wurde. Die vorgefertigten Regeln sind unglaublich umfassend und decken eine breite Palette potenzieller Probleme ab. Aber wenn Sie sie für Ihr Projekt anpassen müssen, ist das einfach zu tun. Und wenn Sie jemals feststecken, ist die Community immer da, um Ihnen zu helfen.

Alles in allem ist Semgrep ein leistungsstarkes Tool, das Entwicklern helfen kann, die Qualität ihres Codes zu verbessern. Aber noch wichtiger ist, dass es sich wie ein Tool anfühlt, das entwickelt wurde, um unser Leben einfacher zu machen. Und wer liebt das nicht? Bewertung gesammelt von und auf G2.com gehostet.

Wie bei jedem Werkzeug gibt es auch bei Semgrep einige potenzielle Nachteile zu beachten. Hier sind einige:

Lernkurve: Obwohl Semgrep allgemein als benutzerfreundlich und einfach zu bedienen gilt, gibt es dennoch eine Lernkurve bei der Verwendung eines neuen Werkzeugs. Einige Entwickler müssen möglicherweise etwas Zeit investieren, um sich mit der Semgrep-Syntax und dem Schreiben und Anpassen von Regeln vertraut zu machen.

Falsch-positive/negative Ergebnisse: Wie jedes statische Analysetool kann Semgrep falsch-positive Ergebnisse (d. h. Code als problematisch kennzeichnen, obwohl er es nicht ist) oder falsch-negative Ergebnisse (d. h. problematischen Code nicht kennzeichnen) erzeugen. Dies kann frustrierend sein und erfordert möglicherweise zusätzlichen Zeit- und Arbeitsaufwand, um dies zu klären.

Ressourcenintensiv: Abhängig von der Größe Ihres Codebestands kann das Ausführen von Semgrep ressourcenintensiv sein und Ihren Entwicklungsprozess verlangsamen. Es ist wichtig, dies zu berücksichtigen, wenn Sie Semgrep in Ihren Arbeitsablauf integrieren und sicherzustellen, dass Ihre Hardware und Infrastruktur dies bewältigen können.

Insgesamt sind diese potenziellen Nachteile im Vergleich zu den Vorteilen, die Semgrep bieten kann, relativ gering. Es ist jedoch wichtig, diese Faktoren zu berücksichtigen, wenn Sie entscheiden, ob Semgrep das richtige Werkzeug für Ihr Projekt ist. Bewertung gesammelt von und auf G2.com gehostet.

-Die Installation ist ziemlich einfach

-Unterstützt fast alle Programmiersprachen

-Scans sind relativ schneller als andere statische Code-Analyse-Tools

-In bestimmten Fällen habe ich festgestellt, dass die Ergebnisse/Feststellungen von Semgrep genauer waren Bewertung gesammelt von und auf G2.com gehostet.

-Es gab auch einige falsch positive Ergebnisse

-Andere Werkzeuge wie Sonarqube haben mehr Funktionen und bieten umfassende Berichte

-Fehlerbehebung kann schwierig sein Bewertung gesammelt von und auf G2.com gehostet.

Semgrep half uns in kürzester Zeit dabei, wichtige Schwachstellen einzugrenzen und uns auf das Wesentliche zu konzentrieren, dank Semgrep Supply Chain.

Es ist das Produkt mit dem besten ROI, das ich empfehlen würde, zu Ihrem SSDLC hinzuzufügen. Es ist schnell, erweiterbar und anpassbar, mit einer praktischen CLI. Bewertung gesammelt von und auf G2.com gehostet.

Weniger fortgeschrittene Bitbucket / Jira-Integration im Vergleich zu GitHub, aber holt schnell auf! Bewertung gesammelt von und auf G2.com gehostet.

Semgrep is an easy-to-use and highly customizable static code analysis tool. Its intuitive interface and flexible rules library make running scans on any codebase effortless, big or small. With its active community of contributors and open-source nature, Semgrep is an essential tool for developers looking to enhance code quality and security quickly and efficiently. Bewertung gesammelt von und auf G2.com gehostet.

I have not encountered any major issues while using the product so far. During onboarding, I experienced some minor UI issues, but they did not significantly impact my overall experience. Bewertung gesammelt von und auf G2.com gehostet.

kontextbewusstes Scannen, das einem Sicherheitsingenieur ermöglicht, echte Metriken zu Schwachstellen im Code zu sehen. Sein Angebot von IaC zeigt, wie kontextbewusst es mit seinen benutzerdefinierten Datenflüssen sein kann. Bewertung gesammelt von und auf G2.com gehostet.

Es ist schwer, etwas Bestimmtes zu benennen, aber das eine, was herausfordernd ist, ist, sich damit vertraut zu machen. Es gibt definitiv eine Lernkurve, um mit dem Schreiben eigener Regeln zu beginnen. Bewertung gesammelt von und auf G2.com gehostet.